Microsoft aborda vulnerabilidades de riesgo crítico, alto y medio en actualizaciones de seguridad para varios de sus productos

Microsoft ha lanzado actualizaciones de seguridad, correspondientes al Patch Tuesday de Setiembre, en donde abordan 129 vulnerabilidades, de las cuales 23 han sido catalogadas como críticas, 105 de riesgo alto y 1 de riesgo medio.

Sistemas Afectados:

Microsoft Windows 10, Windows 8.1, Windows 7, Windows Server 2008, Windows Server 2012, Windows Server 2016 y Windows Server 2019
Microsoft Edge (EdgeHTML-based)
Microsoft ChakraCore
Internet Explorer
Microsoft Dynamics
Visual Studio
Microsoft Exchange Server
Microsoft Windows Codecs Library
Microsoft Windows
Microsoft Jet Database Engine
SQL Server
ASP.NET Core
Microsoft Office, Microsoft Office Services y Microsoft Web Apps
Microsoft Sharepoint
Microsoft NTFS
Microsoft OneDrive
Windows Hyper-V
Windows Kernel
Active Directory
Microsoft Graphics

Puede verse una descripción completa de los productos y servicios afectados en el siguiente enlace: https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Sep

A continuación se detallan brevemente las 23 vulnerabilidades de riesgo crítico abordadas:

Múltiples vulnerabilidades de ejecución remota de código que se dan debido a un mal manejo de objetos en memoria:

Los CVE-2020-1057 y CVE-2020-1172, afectan al motor de script ChakraCore del navegador Microsoft Edge (EdgeHTML-based) para los sistemas Windows (ver versiones específicas afectadas)
Por otro lado, el CVE-2020-0922 afecta a Microsoft COM para los sistemas Windows 10, Windows 8, Windows 7, Windows Server 2008, 2012, 2016 y 2019 (ver versiones específicas afectadas)
El CVE-2020-1252, afecta a Microsoft Windows 10, Windows 8, Windows 7, Windows Server 2008, 2012, 2016 y 2019 (ver versiones específicas afectadas).
El CVE-2020-0908, afecta al módulo Windows Text Service para los sistemas Windows 10, Windows Server 2016 y 2019 (ver versiones específicas afectadas).
El CVE-2020-0997, afecta al códec de la Windows Camera de los sistemas Windows 10, Windows Server 2016 y 2019 (ver versiones específicas afectadas).
El CVE-2020-1129, afecta a la librería Microsoft Windows Codecs para los sistemas Windows 10, Windows Server 2016 y 2019 (ver versiones específicas afectadas).
El CVE-2020-0878, afecta a los navegadores web Internet Explorer 11 y Microsoft Edge (EdgeHTML-based) para los sistemas Windows (ver versiones específicas afectadas).
Por otro lado, el CVE-2020-1285 afecta al componente Windows Graphics Device Interface (GDI) de los sistemas Windows 10, Windows 8, Windows 7, Windows Server 2008, 2012, 2016 y 2019 (ver versiones específicas afectadas);
Y finalmente el CVE-2020-16874, afecta a Microsoft Visual Studio (ver versiones específicas afectadas).

Por otro lado el CVE-2020-16857, afecta a Microsoft Dynamics 365 for Finance and Operations en su versión 10.0.11 y se da debido a un mal manejo de la entrada de datos proporcionada por el usuario. Un atacante remoto con privilegios para importar y exportar datos podría explotar exitosamente este fallo enviando un archivo especialmente diseñado al servidor Dynamics vulnerable.

Mientras que el CVE-2020-16862, afecta a Microsoft Dynamics 365 en su versión 9.0, y es debido a que el servidor no sanitiza correctamente las solicitudes web recibidas. La explotación exitosa de este fallo permitiría a un atacante remoto ejecutar código en el contexto de la cuenta de servicio SQL.

El CVE-2020-16875, afecta a Microsoft Exchange Server 2016 (ver versiones específicas afectadas) y se da debido a una validación inapropiada de los argumentos cmdlet. La explotación exitosa permitiría a un atacante autenticado con un rol de Exchange, ejecutar código en el contexto del usuario System.

Los CVE-2020-1210, CVE-2020-1200, CVE-2020-1576, CVE-2020-1452, CVE-2020-1453 afectan a Microsoft Sharepoint y se dan debido a que el software no verifica el código fuente de un paquete de aplicación. Un atacante remoto podría explotar exitosamente este fallo cargando un paquete de aplicación Sharepoint especialmente diseñado a una versión afectada. Los productos afectados son:

Microsoft SharePoint Enterprise Server 2013, 2016
Microsoft SharePoint Foundation 2010, 2013
Microsoft SharePoint Server 2010, 2019
Microsoft SharePoint Enterprise Server 2013, 2016
Microsoft Business Productivity Servers 2010

Mientras que CVE-2020-1595, afecta a Microsoft Sharepoint Enterprise Server 2013 y 2016; Sharepoint Foundation 2013 y Sharepoint Server 2019. Este fallo se da debido a que las APIs no protegen correctamente de datos inseguros proveídos por el usuario. La explotación exitosa permitiría a un atacante ejecutar código en el contexto del grupo de aplicaciones Sharepoint y la cuenta de los servidores de Sharepoint.

El CVE-2020-1460, afecta a Microsoft Sharepoint Server (ver versiones específicas afectadas) y se da debido a que el servidor no identifica y filtra correctamente controles web ASP.Net inseguros. La explotación exitosa de este fallo permitiría a un atacante utilizar una página especialmente diseñada para realizar acciones arbitrarias en el contexto del grupo de aplicaciones Sharepoint.

Finalmente los CVE-2020-1593 y CVE-2020-1508, afectan al códec de audio de Windows Media para los sistemas Windows 10, Windows 8, Windows 7, Windows Server 2008, 2012, 2016 y 2019 (ver versiones específicas afectadas) y se dan debido a un manejo inapropiado de objetos. Un atacante podría explotar exitosamente este fallo convenciendo a la víctima para que abra un documento especialmente diseñado, o que visite una página maliciosa.

Así también se describen a continuación las vulnerabilidades más resaltantes de riesgo alto y medio:

Múltiples vulnerabilidades de ejecución remota de código en Active Directory (CVE-2020-0761, CVE-2020-0718), Microsoft Dynamics (CVE-2020-16860), Microsoft Jet Database Engine (CVE-2020-1039, CVE-2020-1074) y Microsoft Office para Windows (CVE-2020-1338, CVE-2020-1332, CVE-2020-1218, CVE-2020-1193). Fallos que permitirían a un atacante escalar privilegios en Internet Explorer (CVE-2020-1012, CVE-2020-1506), Microsoft Graphics (CVE-2020-0921, CVE-2020-0998, CVE-2020-1152, CVE-2020-1245) , Microsoft NTFS (CVE-2020-0838), Microsoft OneDrive para Windows (CVE-2020-16853, CVE-2020-16851, CVE-2020-16852), Kernel de Windows (CVE-2020-1034) y un fallo de riesgo medio en SQL Server (CVE-2020-1044) que permitiría a un atacante autenticado cargar tipos de archivos no permitidos por el administrador.

Impacto:

La explotación exitosa de estas vulnerabilidades, permitiría a un atacante:

Instalar programas maliciosos, ver, cambiar o eliminar datos, crear cuentas de usuarios obtener información y tomar el control total del recurso afectado;
Ejecutar código remoto en el sistema afectado;
Escalar privilegios;
Realizar ataques de denegación de servicios (DoS).

Recomendaciones:

Aplicar la actualización de seguridad, desde el apartado “Security Updates” de la página oficial de Microsoft, para los siguientes productos afectados:
- Internet Explorer 11, desde el siguiente enlace;
- Microsoft ChakraCore, desde el siguiente enlace;
- Visual Studio, desde el siguiente enlace;
- Microsoft Exchange Server, desde el siguiente enlace;
- Microsoft Sharepoint, desde el siguiente enlace;
- SQL Server, desde el siguiente enlace;
- Microsoft OneDrive, desde el siguiente enlace;
- Microsoft Dynamics, desde el siguiente enlace;
- Microsoft Office, desde el siguiente enlace.
Aplicar los parches de seguridad correspondientes a cada sistema operativo, para ello dirigirse al menú de Ajustes (Settings) > Actualización y seguridad (Update & Security) > Actualización de Windows (Windows Update) > Revisar actualizaciones (Check for updates) y la actualización se descargara e instalara automáticamente.

Más detalles y recomendaciones pueden ser visualizados en el aviso de seguridad oficial de Microsoft.

Referencias: